Forms身份驗證理解context.user.identity

Question

由於關於此過程的文檔非常含糊且令人困惑（或舊），因此我想驗證我是否正確地執行了操作並且沒有錯過任何步驟。

我想創建一個安全的登錄系統，在瀏覽器關閉時過期。

- 在我的web.config我有以下 -

<authentication mode="Forms"> 
     <forms loginUrl="~/Login.aspx" defaultUrl="Index.aspx" name=".ASPXFORMSAUTH" timeout="100" /> 
    </authentication> 
    <authorization> 
     <allow users="?" /> 
    </authorization> 
    <machineKey decryption="AES" validation="SHA1" validationKey.......... /> 

所以我有一個用戶名/密碼文本框登錄表單，這個按鈕：

<asp:Button ID="LoginButton" runat="Server" OnClick="Login_Authenticate" Text="Sign in" /> 

裏面Login_Authenticate我做如下：

protected void Login_Authenticate(object sender, EventArgs e){ 
string userName = UserName.Text; 
string password = Password.Text; 

bool Authenticated = false; 

// Here's code that makes sure that Username and Password is CORRECT 
if(AuthClass.Authenticate(userName, password)){ 
Authenticated = true; 
} 
// error checking does happen here. 

if (Authenticated) 
{ 
    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, userName, DateTime.Now, DateTime.Now.AddMinutes(30), rememberUserName, String.Empty, FormsAuthentication.FormsCookiePath); 
    string encryptedCookie = FormsAuthentication.Encrypt(ticket); 
    HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedCookie); 
    cookie.Expires = DateTime.Now.AddMinutes(30); 
    Response.Cookies.Add(cookie); 
    //FormsAuthentication.RedirectFromLoginPage(userName, false); 

    Response.Redirect("MainPage.aspx"); 
} 
} 

---在MasterPage.master.cs中我有以下檢查Page_Init（ ）---

if (Context.User.Identity.IsAuthenticated) 
    { 
     int userid = (int)Session["userid"]; 
     if (userid == null) 
     { 
     userid = GetUserID(Context.User.Identity.Name); 
     if (userid != null) 
     { 
      Session["userid"] = userid; 
     } 
     } 
    } 

編輯： --- Global.asax中;一些代碼，我不太清楚是正確的或不知道它做什麼

protected void Application_AuthenticateRequest(object sender, EventArgs e) 
    { 
     // look if any security information exists for this request 
     if (HttpContext.Current.User != null) 
     { 
      // see if this user is authenticated, any authenticated cookie (ticket) exists for this user 
      if (HttpContext.Current.User.Identity.IsAuthenticated) 
      { 
       // see if the authentication is done using FormsAuthentication 
       if (HttpContext.Current.User.Identity is FormsIdentity) 
       { 
        // Get the roles stored for this request from the ticket 
        // get the identity of the user 
        FormsIdentity identity = (FormsIdentity)HttpContext.Current.User.Identity; 
        //Get the form authentication ticket of the user 
        FormsAuthenticationTicket ticket = identity.Ticket; 
        //Get the roles stored as UserData into ticket 
        string[] roles = { }; 
        //Create general prrincipal and assign it to current request 

        HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(identity, roles); 
       } 
      } 
     } 
    } 

---從那時起，每一頁上，我使用會話用戶ID來收集用戶信息和內容，並確保用戶具有適當的身份驗證和組角色權限。

這一切是否正確？或者我必須在任何地方解密任何東西？

這足以讓一個安全的用戶登錄？還是應該不打擾表單身份驗證，並找到我自己的方式來製作自己的cookie並自行管理它？

Answer 1

您的代碼寫入方式登錄將持續瀏覽器會話。這可能有助於瞭解正在發生的事情的基礎知識。

對於基於cookie的身份驗證方法，實際上有三個動作：

1）登錄 - 驗證用戶的憑據，並創建和存儲在他們的瀏覽器的cookie。

2）註銷 - 只需將刪除瀏覽器中的cookie（由過期的餅乾或刪除它）

3）每請求驗證（也就是部分是你的Application_AuthenticateRequest） - 檢查，看是否有cookie存在，如果是，獲取用戶的標識和角色並設置HttpContext.Current.User。

通常情況下，FormsAuthentication模塊將大部分隱藏起來。它看起來像你的代碼正在嘗試使用FormAuthentication的一些元素（如FormsAuthenticationTicket和FormsIdentity。只要你得到你想要的，這是很好的

你的Login_Authenticate方法看起來很好除了你設置過期即使你關閉並重新打開瀏覽器，這也會使cookie保持不變，因爲這不是你想要的行爲，所以我不會設置cookie過期時間，這個設置就像檢查「記住我」複選框一樣。

Application_AuthenticateRequest中的代碼每次從應用程序提供頁面時都會運行，它的主要工作是設置HttpContext.Current.User。通常，如果沒有用戶登錄，則User是null或Anonymous用戶。已登錄，這應該代表你的用戶。

如果你正在做這三件事，那麼你的代碼中的任何地方都可以引用HttpContext.Current.User來決定你想要顯示的信息級別。例如，如果您只想將頁面限制爲僅限管理員，則可以調用HttpContext.Current.Users.IsInRole（「Administrators」），如果調用返回false，則將它們從頁面重定向。

希望這會有所幫助。

Answer 2

有沒有在您的授權標籤的問題，應該是：

<authorization> 
    <deny users="?" /> 
    <allow users="*" /> 
</authorization> 

，因爲你要拒絕匿名用戶。如果您解決了這個問題，您可以安全地從主頁面和global.asax中刪除所有內容 - 您不必將表單標識重新映射到存儲在會話中的自定義標識。這是浪費資源，我不認爲它會以重大的方式提高解決方案的安全性。你可以依靠表單cookie。

Answer 3

我有點晚了關於這個問題的，但對於那些試圖實現窗體身份驗證，同時保持事情簡單（像我想），這裏的有關最新文檔我已經在MSDN上找到： http://msdn.microsoft.com/en-us/library/xdt4thhy(v=vs.100).aspx

簡而言之，不要搞亂設置cookie，檢查它們，實例化門票或校長，...留給FormsAuthentication班。

在日誌上，當您的代碼檢查憑據，如果它們是有效的，只是叫

FormsAuthentication.RedirectFromLoginPage(yourUserId, false); 

它爲您設置身份驗證cookie，它與重定向相結合，就足夠了。 「false」用於不保留授權：在瀏覽器關閉時（或授權超時）它將丟失。

在已經過身份驗證的請求上，沒有任何內容需要通過代碼檢查以確保您的身份驗證有效。使用Context.User.Identity.Name知道誰連接（將是上面的字符串yourUserId）。

在明確的退出，呼籲

FormsAuthentication.SignOut(); 
FormsAuthentication.RedirectToLoginPage(); 

而且具有在web.config中配置表單認證。

<system.web> 
    <authentication mode="Forms"> 
    <forms loginUrl="yourLoginPage" defaultUrl="yourDefaultPageAfterLogin"> 
    </forms> 
    </authentication> 
    <authorization> 
    <deny users="?" /> 
    </authorization> 
</system.web> 

注意，對於MVC應用程序的授權部分應該從配置中刪除，並註冊爲全局篩選器屬性AuthorizeAttribute處理，對控制器或動作需要它的AllowAnonymousAttribute使用。 （MVC 4;在此之前，需要創建自己的屬性來處理該屬性）。

Answer 4

記住我的完整工作流程需要： 1.將自定義數據寫入cookie。 2.讀取自定義數據。

即使您可以通過cookie驗證請求，但並不意味着該請求可以恢復HttpSession對象。

http://www.codeproject.com/Articles/779844/Remember-Me